Cvičení – použití monitorovacích a diagnostických nástrojů služby Network Watcher k řešení potíží se sítí
Azure Network Watcher pomáhá s diagnostikou konfiguračních chyb, které brání komunikaci virtuálních počítačů.
Řekněme, že máte dva virtuální počítače, které spolu nekomunikují. Chcete problém diagnostikovat a co nejrychleji ho vyřešit. A chcete k tomu použít Network Watcher.
Tady budete řešit připojení dvou virtuálních počítačů v různých podsítích.
Důležité
K provedení tohoto cvičení potřebujete vlastní předplatné Azure a mohou se vám účtovat poplatky. Pokud ještě nemáte předplatné Azure, vytvořte si bezplatný účet, než začnete.
Konfigurace virtuální sítě a virtuálních počítačů
Začněme vytvořením infrastruktury. Budeme také záměrně vytvářet chybu konfigurace:
V prohlížeči otevřete relaci Azure Cloud Shellu .
Otevřete adresář, ve kterém chcete vytvořit prostředky.
V levém horním rohu řádku nabídek Cloud Shellu vyberte Bash.
Uveďte podporované oblasti pro vaše předplatné.
az account list-locationsVytvořte skupinu prostředků a přiřaďte ji do skupiny prostředků spuštěním následujícího kódu, nahraďte
<resource group name>ji názvem vaší skupiny prostředků a<name>názvem oblasti z předchozího výstupu.az group create --name <resource group name> --location <name> RG=<resource group name>Spuštěním tohoto příkazu vytvořte virtuální síť MyVNet1 s podsítí s názvem FrontendSubnet .
az network vnet create \ --resource-group $RG \ --name MyVNet1 \ --address-prefixes 10.10.0.0/16 \ --subnet-name FrontendSubnet \ --subnet-prefixes 10.10.1.0/24Spuštěním tohoto příkazu vytvořte další podsíť s názvem BackendSubnet .
az network vnet subnet create \ --address-prefixes 10.10.2.0/24 \ --name BackendSubnet \ --resource-group $RG \ --vnet-name MyVNet1Spuštěním tohoto příkazu nasaďte virtuální počítač ve frontendSubnetu a nahraďte
<password>ho složitým heslem podle vašeho výběru.az vm create \ --resource-group $RG \ --name FrontendVM \ --vnet-name MyVNet1 \ --subnet FrontendSubnet \ --image Win2019Datacenter \ --admin-username azureuser \ --admin-password <password>Poznámka:
Pokud se zobrazí chyba partofthepassword: událost nebyla nalezena, vytvořte nové heslo pomocí povolených znaků.
Nainstalujte službu IIS na virtuální počítač FrontendVM spuštěním následujícího kódu.
az vm extension set \ --publisher Microsoft.Compute \ --name CustomScriptExtension \ --vm-name FrontendVM \ --resource-group $RG \ --settings '{"commandToExecute":"powershell.exe Install-WindowsFeature -Name Web-Server"}' \ --no-waitSpuštěním tohoto příkazu nasaďte virtuální počítač v backendSubnetu a nahraďte
<password>ho složitým heslem podle vašeho výběru.az vm create \ --resource-group $RG \ --name BackendVM \ --vnet-name MyVNet1 \ --subnet BackendSubnet \ --image Win2019Datacenter \ --admin-username azureuser \ --admin-password <password>Spuštěním tohoto příkazu nainstalujte službu IIS na back-endový virtuální počítač.
az vm extension set \ --publisher Microsoft.Compute \ --name CustomScriptExtension \ --vm-name BackendVM \ --resource-group $RG \ --settings '{"commandToExecute":"powershell.exe Install-WindowsFeature -Name Web-Server"}' \ --no-waitVytvořte skupinu zabezpečení sítě (NSG) MyNsg zadáním následujícího příkazu.
az network nsg create \ --name MyNsg \ --resource-group $RGVytvořte chybu konfigurace, která brání komunikaci mezi virtuálními počítači.
az network nsg rule create \ --resource-group $RG \ --name MyNSGRule \ --nsg-name MyNsg \ --priority 4096 \ --source-address-prefixes '*' \ --source-port-ranges '*' \ --destination-address-prefixes '*' \ --destination-port-ranges 80 443 3389 \ --access Deny \ --protocol TCP \ --direction Inbound \ --description "Deny from specific IP address ranges on 80, 443 and 3389."Spuštěním následujícího příkazu přidružte skupinu zabezpečení sítě k podsíti.
az network vnet subnet update \ --resource-group $RG \ --name BackendSubnet \ --vnet-name MyVNet1 \ --network-security-group MyNsg
Povolení služby Network Watcher pro vaši oblast
Teď použijeme Azure CLI k nastavení služby Network Watcher ve stejné oblasti jako infrastruktura.
- Povolte Network Watcher spuštěním tohoto příkazu a nahraďte
<location>oblastí Azure, kterou jste použili při vytváření skupiny prostředků na začátku této relace.
az network watcher configure \
--enabled true \
--resource-group $RG \
--locations <location>
Použití služby Network Watcher k zobrazení topologie
Teď můžete pomocí služby Network Watcher na webu Azure Portal řešit potíže s připojením mezi dvěma virtuálními počítači v různých podsítích. Váš kolega nahlásil problém s připojením přes PROTOKOL HTTP/HTTPS mezi dvěma virtuálními počítači. Nejprve prozkoumejte topologii sítě.
Přihlaste se k portálu Azure.
V globálním vyhledávání zadejte Network Watcher a vyberte tuto službu. Zobrazí se podokno Přehled služby Network Watcher se seznamem aktivního sledování sítě.
V nabídce Network Watcher vyberte v části Monitorování topologii. Network Watcher | Zobrazí se podokno topologie .
V rozevíracích polích vyberte předplatné a skupinu prostředků pro toto cvičení. Síťová topologie pro MyVNet1 zobrazuje rozhraní front-endu a back-endového virtuálního počítače. Toto je virtuální síť, kterou jste vytvořili na začátku tohoto cvičení.
Použití monitorování Připojení ke spouštění testů z back-endu do front-endu
Zdá se, že topologie je správná. Pojďme v Monitorování připojení nastavit několik testů, abychom získali další informace. Začněte vytvořením testu z back-endového virtuálního počítače do front-endového virtuálního počítače.
V nabídce Network Watcher v části Monitorování vyberte Připojení monitorování. Network Watcher | monitorování Připojení Zobrazí se podokno přehledu.
Na panelu příkazů vyberte Vytvořit. Zobrazí se stránka Vytvořit Připojení ion Monitorování.
Na kartě Základy zadejte pro každé nastavení následující hodnoty.
Nastavení Hodnota název monitorování Připojení ionu Back-to-front-HTTP-test Předplatné V rozevíracím seznamu vyberte své předplatné. Oblast Vyberte oblast Azure, ve které jste nasadili prostředky. Konfigurace pracovního prostoru Je zaškrtnuto políčko Použít pracovní prostor vytvořený monitorováním připojení (výchozí). Vyberte Další: Testovací skupiny. Zobrazí se podokno s podrobnostmi o přidání testovací skupiny.
Jako název testovací skupiny zadejte back-to-front-HTTP-test-group.
V poli Zdroje vyberte Přidat zdroje. Zobrazí se podokno Přidat zdroje .
Na kartě Koncové body Azure vyberte Podsíť, ujistěte se, že je vybrané vaše předplatné, a pak ze seznamu vyberte BackendSubnet.
Vyberte Přidat koncové body. V poli Zdroje s back-endovou podsíť označenou jako zdroj. Vyberte tento koncový bod, vyberte Upravit a přejmenujte ho na BackendSubnet a pak vyberte Uložit.
V dialogovém okně Konfigurace testů vyberte Přidat konfiguraci testu. Zobrazí se podokno Přidat konfiguraci testu.
Na kartě Nová konfigurace zadejte pro každé nastavení následující hodnoty.
Nastavení Hodnota Název konfigurace testu Konfigurace back-to-front-HTTP-test-configuration Protokol HTTP Cílový port 80 Frekvence testů Každých 30 sekund Ponechte výchozí hodnoty pro zbývající nastavení. Tuto testovací konfiguraci přidáte do testovací skupiny výběrem možnosti Přidat konfiguraci testu. Podrobnosti o přidání testovací skupiny se znovu zobrazí s identifikovanou konfigurací testu.
V poli Cíle vyberte Přidat cíle. Zobrazí se podokno Přidat cíle .
Na kartě Koncové body Azure vyberte Podsíť, ujistěte se, že je vybrané vaše předplatné, a pak ze seznamu vyberte FrontendSubnet.
Vyberte Přidat koncové body. Podrobnosti o přidání testovací skupiny se znovu zobrazí s podsíť frontendu identifikovanou jako cíl.
V dolní části podokna vyberte Přidat testovací skupinu. Zobrazí se podokno Vytvořit Připojení ion Monitorování.
Na kartě Testovací skupiny si všimněte, že vaše testovací skupina je uvedená se zdrojem jako back-endem a cílem jako front-end.
Vyberte Zkontrolovat a vytvořit a potom Vytvořit.
Pokud se test nezobrazí v podokně monitorování Připojení ionu, vyberte tlačítko Aktualizovat. Výsledky back-to-front-http-testu by měly ukázat, že vzhledem k tomu, že skupina zabezpečení sítě je přidružená k back-endové podsíti, provoz prochází bez problémů z back-endového virtuálního počítače do virtuálního počítače front-endu.
Použití monitorování Připojení ke spouštění testů z front-endu do back-endu
Spusťte stejný test v opačném směru. Pojďme v nástroji Připojení ion Monitor nastavit další test. Začněte vytvořením testu z front-endového virtuálního počítače do back-endového virtuálního počítače.
V podokně monitorování Připojení ion vyberte Vytvořit.
Na kartě Základy zadejte pro každé nastavení následující hodnoty.
Nastavení Hodnota název monitorování Připojení ionu Front-to-back-HTTP-test Předplatné V rozevíracím seznamu vyberte své předplatné. Oblast Vyberte oblast Azure, ve které jste nasadili prostředky. Vyberte Další: Testovací skupiny. Zobrazí se podokno s podrobnostmi o přidání testovací skupiny.
Do pole Název testovací skupiny zadejte front-to-back-HTTP-test-group a potom v poli Zdroje vyberte Přidat zdroje . Zobrazí se podokno Přidat zdroje .
Na kartě Koncové body Azure vyberte Podsíť, ujistěte se, že je vybrané vaše předplatné, a pak ze seznamu vyberte FrontSubnet.
Vyberte Přidat koncové body. V poli Zdroje s back-endovou podsíť označenou jako zdroj. Vyberte tento koncový bod, vyberte Upravit a přejmenujte ho na FrontendSubnet a pak vyberte Uložit.
V dialogovém okně Konfigurace testů vyberte Přidat konfiguraci testu. Zobrazí se podokno Přidat konfiguraci testu.
Na kartě Nová konfigurace zadejte pro každé nastavení následující hodnoty.
Nastavení Hodnota Název konfigurace testu Konfigurace front-to-back-HTTP-test-configuration Protokol HTTP Cílový port 80 Frekvence testů Každých 30 sekund Přijměte výchozí hodnoty pro zbývající nastavení. Vyberte Přidat konfiguraci testu. Podrobnosti o přidání testovací skupiny se znovu zobrazí s identifikovanou konfigurací testu.
V poli Cíle vyberte Přidat cíle. Zobrazí se podokno Přidat cíle .
Na kartě Koncové body Azure vyberte Podsíť, ujistěte se, že je vybrané vaše předplatné, a pak ze seznamu vyberte BackendSubnet.
Vyberte Přidat koncové body. Podokno s podrobnostmi o přidání testovací skupiny se znovu zobrazí s back-endovou podsíť označenou jako cíl.
V dolní části podokna vyberte Přidat testovací skupinu. Znovu se zobrazí podokno Vytvořit Připojení ion Monitorování.
Na kartě Testovací skupiny si všimněte, že je teď uvedená front-to-back-http-test-group.
Vyberte Zkontrolovat a vytvořit a potom Vytvořit.
Pokud se test nezobrazí v podokně monitorování Připojení ionu, vyberte tlačítko Aktualizovat. Výsledky testu FRONT-to-back-HTTP by měly ukázat, že vzhledem k tomu, že skupina zabezpečení sítě je přidružená k back-endové podsíti, žádný provoz neprochází z front-endového virtuálního počítače do back-endového virtuálního počítače.
Testování připojení ověřením toku protokolu IP
K získání dalších informací použijeme nástroj k ověření toku protokolu IP.
Vyberte Network Watcher a v nabídce prostředků v části Diagnostické nástroje sítě vyberte ověření toku protokolu IP.
Nakonfigurujte test zadáním následujících hodnot pro každé nastavení a pak vyberte Zkontrolovat.
Nastavení Hodnota Předplatné Vyberte své předplatné. Skupina prostředků Vyberte skupinu prostředků. Virtuální počítač BackendVM Síťové rozhraní BackendVMVMNic Protokol TCP Směr Příchozí Místní IP adresa 10.10.2.4 Místní port 3389 Vzdálená IP adresa 10.10.1.4 Vzdálený port 3389 
Výsledek zobrazuje odepření přístupu kvůli skupině zabezpečení sítě a pravidlům zabezpečení.
V tomto cvičení jste úspěšně použili nástroje služby Network Watcher ke zjištění problému s připojením mezi dvěma podsítěmi. Komunikace je povolená jedním směrem, ale blokovaná druhým směrem kvůli pravidlům NSG.